[发明专利]一种基于安全规约自动构建的PLC安全事件取证方法

说明书

本发明属于网络安全技术领域，具体涉及一种PLC安全事件取证方法。该包括：状态变量的自动获取及安全规约的构建步骤；按照时间窗口从PLC状态运行信息中挖掘状态冲突规则与时序规则的步骤；将所述的状态冲突规则与时序规则与所述的安全规约进行对比，发现与安全规约不一致的规则的步骤；将PLC网络通信记录数据与PLC运行状态数据进行关联分析的步骤；根据所述的关联分析，推理出引发PLC冲突规则或时序规则发生变化的相关PLC操作的步骤。本发明的基于安全规约自动构建的PLC安全事件取证方法。通过对PLC控制逻辑程序AWL文件的分析，自动构建安全规约，并将其与PLC运行状态数据中挖掘的安全规则进行一致性匹配，进一步重构PLC安全事件，完成取证。

技术领域

本发明属于网络安全技术领域，具体涉及一种PLC安全事件取证方法。

背景技术

工业控制系统原有相对封闭的使用环境逐渐被打破，开放性和互联性越来越强，使得工业控制系统与各种业务系统的协作成为可能，与此同时，工业股联网中面临的网络安全问题日益凸现，PLC作为工业控制系统中的重要设备，越来越多地遭受到来自互联网的攻击，这些攻击给社会经济乃至人类生命安全造成了难以弥补的损失。针对PLC的取证技术引起了取证调查领域学者的强烈关注。目前，PLC安全事件取证可被划分为三类：通过网络通信日志获取PLC状态的取证方法、基于入侵检测系统的取证方法、使用PLC内置的日志功能的取证方法。

通过网络通信日志获取PLC状态的取证方法：取证人员将一个取证代理放置在SCADA网络的关键位置，该代理负责将网络数据包发送到负责存储获取证据的设备。因此，该方法通过重构网路数据包内容来获取SCADA网络历史信息。然而，该方法从大量信息中识别出有效的安全事件存在一定困难。除此之外，还有一种方法是将一个硬件设备连接到PLC，获取PLC的数据，如内存状态、修改命令等，该设备具备超大容量的存储空间，当安全事件发生时，将该设备从PLC上取下来，分析存储在其中的数据。SSU(Shadow Security Unit)就是一个类似设备。另外，一些学者还提出了相关的PLC取证方法：如Yau通过Wireshark捕获并分析数据包实现了对西门子PLC的日志记录。Wu获取PLC内存变量，访问内存区域信息，记录内存变量的变化。然而，这种记录内存变化的方法无法捕获对PLC造成影响的外部设备ip地址。Chan将一个可执行的安全块添加到控制逻辑程序扫描循环中，该安全块负责将输入输出变量值，数据块号，系统时间戳等信息通过网络发送到历史数据库中。很明显，该方法会影响PLC的工作效率，并且要求安全块开发人员对PLC的控制逻辑程序源码较为熟悉。KenYau提出了一种将机器学习算法应用于PLC取证的方法，他将控制逻辑程序中的输入输出值存储到日志文件中，然后使用决策树和支持向量机方法识别异常的PLC操作。综上，通过网络通信日志获取PLC状态的取证方法要求调查人员对物理操作过程较为熟悉，并且需要从工业控制系统专家处获取输入输出变量名称等相关知识。

基于入侵检测系统的取证方法：Craig Valli通过创建入侵检测系统规则集实现SCADA控制系统网络威胁调查取证框架，该框架对证据的收集依赖于对异常检测结果的扫描。Kleinmann开发了一种基于确定有限自动机(DFA)的入侵检测系统来处理S7的网络流量。以上方法过度依赖于人工创建入侵检测规则。

用PLC内置的日志功能的取证方法：西门子PLC本身具有诊断缓冲区记录其行为及其与西门子Step-7程序的交互行为。虽然诊断缓冲区记录了时间戳、事件id、事件描述等信息，但是，这些记录信息字段依赖于工程工作者的配置，记录的内容非常有限。

发明内容

本发明的目的是为了克服现有PLC安全事件取证问题的缺点，提供一种基于安全规约自动构建的PLC安全事件取证方法。

为了实现上述目的，本发明采用的技术方案是：一种基于安全规约自动构建的PLC安全事件取证方法，包括：

状态变量的自动获取及安全规约的构建步骤；